1 min lu
Mots de passe : la CNIL fait ses recommandations, êtes-vous dans les clous ?

La CNIL a mis à jour ses recommandations concernant la sécurité des mots de passe, voici ce que l'on peut en retenir.
La Commission nationale de l'informatique et des libertés (CNIL) a publié une nouvelle directive sur la sécurisation des mots de passe. Si celle-ci s'adresse essentiellement aux entreprises, de plus en plus sujettes à des fuites de données et des cyberattaques, les recommandations peuvent aussi être appliquées par les particuliers.
Quel degré de complexité du mot de passe choisir ?La CNIL a identifié trois cas, pour lesquels elle a attribué différents niveaux d’entropie. Elle donne des exemples de mots de passe répondant au niveau d’entropie correspondant.

  • Mot de passe seul : minimum de 12 caractères (avec majuscule, minuscule, chiffre, caractère spécial) ou minimum de 14 caractères (avec majuscule, minuscule, chiffre).
  • Mécanisme de restriction de l’accès au compte après plusieurs échecs d’authentification : minimum de 8 caractères comportant 3 des 4 catégories de caractères (majuscule, minuscule, chiffre, caractère spécial) ou minimum de 16 chiffres.
  • Matériel détenu par la personne avec dispositif de blocage après 3 échecs d’authentification : minimum de 4 chiffres décimaux.

Ajoutons que la CNIL ne recommande plus d’utiliser une information complémentaire, comme le nom des parents, d'un animal de compagnie, ou autre donnée personnelle, pour sécuriser un mot de passe.

Ne jamais stocker les mots de passe en clair

La CNIL rappelle également que sous aucun prétexte les mots de passe ne doivent être stockés en clair. « Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé », ajoute la Commission, qui cite les fonctions scrypt ou Argon2 comme solutions de chiffrement des mots de passe.Réagissant à cette mise à jour des recommandations de la CNIL, Me Alexandre Lazarègue, spécialisé en droit du numérique, évoque par ailleurs le sujet de la biométrie comme méthode d'authentification. Selon lui, celle-ci comporte des risques, car si les données biométriques tombent entre de mauvaises mains, elles ne peuvent logiquement pas être modifiées, au contraire d'un mot de passe. Cela peut entraîner une « compromission susceptible d'entraîner des usurpations d'identité à répétition », d'après l'expert, qui conseille plutôt le recours à des mots de passe complexes.